Re: [Admin-ml] MacOS X serveur utilisé comme routeur

Jean-Luc Bailloeul jlbailloeul at irtsnpdc.fr
Ven 5 Sep 12:34:37 CEST 2008


Bonjour,

J'ai du mal à comprendre ta config.
Tu as un serveur local derrière un accès WAN, et tu veux t'en servir  
en tant que routeur, serveur DNS, VPN et serveur Web.
Tu as donc deux cas de figure :
- ton pool d'adresses ip, le DNS "externe" de ton domaine et ton  
routeur sont gérés par ton provider.
- ton pool d'adresses ip est fourni par ton serveur, et toutes les  
adresses ip sont démilitarisées (pas de routeur du provider, et donc  
tous les ports ouverts).
Si tu gères ton propre serveur DNS externe, tu est inscrit en tant que  
NS auprès de ton provider.

Je suis pour ma part dans le premier cas de figure.
Personnellement, je vois pas l'intérêt de gérer son serveur DNS  
externe, cela suggère que ton serveur va accepter des requêtes DNS de  
l'extérieur.
Mon serveur est configuré sur un plan d'adressage ip privé, je fournis  
le DNS à l'interne (inutile qu'une de mes machines passent par l'IP  
publique de mes serveurs pour effectuer leurs requêtes, sans compter  
le casse-tête de la configuration du FW du serveur).
Si je veux me servir du serveur comme routeur, je n'ai qu'a activer le  
NAT.
Concernant les services web et mail, les ports sont routés de l'@ IP  
externe vers l'interne (PAT).
Pour le VPN, cela dépend des méthodes utilisées. pour le PPTP, il  
s'agit d'ouvrir le port 1745 de mémoire et d'autoriser le protocole  
GRE, et de rediriger tout cela sur ton serveur. Pour l'IPSec, ??

Cdt,

Jean-Luc


Le 5 sept. 08 à 11:50, Piel Jayce a écrit :

> Le 3 sept. 08 à 00:03, François SCHOSSIG a écrit :
>
>> Je souhaite installer MacOS X 10.5 serveur sur un MacPro, pour  
>> faire entre autres, routeur, serveur DNS interne, VPN et serveur  
>> web. J'aurais bien fait un essai de configuration par  
>> l'intermédiaire de l'assistant que l'on peut appeler dans le NAT,  
>> pour voir ce qu'il fait. Mis l'assistant en question bloque après  
>> avoir demandé si on veut activer le VPN, que l'on dise oui, ou non,  
>> et plus rien ne se passe.
>
> Il me semble que l'assistant bousille les prefs existante, donc  
> attention aux prefs du DNS actuel si tu en as...
>
> Tu devrais sauvegarder les prefs actuelles du serveur DNS et du VPN,  
> et les remettre à zéro et désactiver les services avant de lancer  
> l'assistant.
>
>> Pour le même nom de domaine, j'ai aussi un serveur DNS externe. Les  
>> noms des machines visibles sur internet sont donc renseignés dans  
>> les deux DNS, mais pas forcément avec la même adresse IP : le DNS  
>> interne connaît les vraies adresses IP internes et le DNS externe  
>> ne connaît que l'adresse IP publique. De plus, les machines  
>> strictement internes ne sont renseignées que dans le DNS interne  
>> (typiquement les imprimantes). Il ne faut donc évidemment surtout  
>> pas qu'un poste interne puisse interroger directement un DNS sur  
>> internet, car celui-ci ne connaîtra évidemment pas les adresses des  
>> machines internes, les imprimantes par exemple. Il ne faudrait donc  
>> pas que le serveur aille piocher dans les DNS du provider pour  
>> répondre aux postes internes pour le domaine dont il est SOA.
>
> Si il gère le domaine, il n'a aucune raison d'aller chercher  
> ailleurs...

>
>
>> 1. Dans Préférences Système>Réseau, quelle doit être la première  
>> adresse IP, en haut : l'adresse interne, LAN, soit 10.0.0.40 ou  
>> l'adresse externe, WAN ?
>
> Je dirais qu'il n'y a aucune importance. En fonction de l'IP et du  
> masque, il ira sur l'interface la plus adaptée.
> Perso, je mettrais tout de même l'adresse externe en premier...
>
>> 2. La passerelle pour l'IP externe est a priori l'adresse IP du  
>> routeur du provider, mais quelle doit être la passerelle pour l'IP  
>> interne, côté LAN ? Cette même adresse, soit 10.0.0.40, soit la  
>> machine elle-même ? Rien du tout ?
>
> L'adresse du serveur sur le réseau local.
>
>> 3. Quel doit être le serveur DNS pour chaque interface réseau ? DNS  
>> du provider sur interface externe ? IP du serveur pour l'interface  
>> interne ?
>
> Dans les deux interface, le premier DNS défini doit être lui-même.
>
>> 4. Dans ma configuration, pour que mes serveurs DNS/web soient  
>> visible de l'extérieur et de l'intérieur j'ai l'impression d'avoir  
>> compris que je suis obligé d'aller configurer le port forwarding en  
>> ligne de commande. Est-ce bien cela ?
>> En passant, dans Admin Serveur, en activant le NAT, faut-il ou non  
>> cocher la case à cocher, en dessous de IP Forwarding and Network  
>> Address Translation (désolé, je n'ai plus l'intitulé exact de la  
>> case à cocher sous la main) ?
>
>
> Alors là, n'ayant jamais joué avec ça, je ne peux pas te dire. Mais  
> cela ne se gère-t-il pas dans la partie Firewall de ServerAdmin ?
>
> -- 
> Jayce Piel
> MosX.org
> la renaissance.....
>
>
> _______________________________________________
> Admin-ml mailing list
> Admin-ml at mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>




Plus d'informations sur la liste de diffusion Admin-ml